パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

MS の「脆弱性の責任」を問う初の集団訴訟」記事へのコメント

  • Microsoft最高セキュリティ責任者であるScott Charney氏が
    9月9日に経済産業研究所で行った セミナーの記事 [cnet.com]が、
    CNETJapanに掲載されています。
    現在のITの世界の状況を、車の発明と交通ルールの整備になぞらえて

    • リコールだと現実味が無さそうなので、安全性が証明できるまでの間、「3ヶ月間出荷停止」辺りが面白いかと。カメラ量販店の PC 売り場から売るモノが無くなる光景が目に浮かびます(Apple は除く)。で、初めて量販店は「リスクヘッジとして他の OS が搭載できる PC も扱ってみよう」と言う流れになる、と。

      、、、正直、
      --
      Mc.N
      • by MIYU (17727) on 2003年10月04日 19時14分 (#408724)

        次から次へと、新製品が出荷されるPCですが、
        OSは、PCメーカーがインストールしてるんですよね ?
        その時使用されるのは、バグが残ったままのOSなのでしょうか ?

        #408344で、shiragaさんがイギリスでBlasterに昨夜感染した顛末を書いていらっしゃいましたが、日本でも同じ事が起こるのでしょうか?( 流通在庫はおいとくとして )
        日本での事情をご存じの方、初心者向けに解説お願いです。

        親コメント
        • 次から次へと、新製品が出荷されるPCですが、
          OSは、PCメーカーがインストールしてるんですよね ?
          その時使用されるのは、バグが残ったままのOSなのでしょうか ?
          事情は良く知りませんが店頭でのアピールはほぼありません。PC ベンダーの page を見ても「コンピュータウイルスにご注意ください」程度。net 公開で済ましているように見えます。もしかして PC 購入時に patch CD を提供してくれるお店があるのかもしれません。
          #PC 購入時に30分位の簡単なセキュリティ講習でも受けてもらうとか、そういうコストは誰も払わないですかね。

          、、、私の戯言より以下の page が参考になるかと。今も同じ現状かどうかについては分かりませんが、きっと時間が解決してくれるのでしょう。
          #「長い目で見れば我々は皆死んでいる」ってことで ;-(
          -----
          [NEC,Blasterワームのセキュリティ・ホールを修正済みのパソコン発売]
          http://itpro.nikkeibp.co.jp/free/NT/NEWS/20030904/1/
          -----
          --
          Mc.N
          親コメント
          • 読んでみて欲しいので、掲載します。

            セキュリティ・ホールを修正についての NEC商品企画部門様からの回答

              従来より、弊社では、セキュリティに関する重大と考えられる Windows上の修正モジュールをマイクロソフト社から入手した場 合は、出荷までに間に合うものについてはSPを待たずに適用し てきております。しかしながら、生産等の都合もあり出荷までに どうしても間に合わない場合もあります。また、マイクロソフト社が発見していない修正モジュールについても、適用することは困難 です。

            弊社ではこれまでも、ウィルススキャンソフトを一環してプリイン ストールしておりますし、前述のようにWindowsのセキュリティに 関する重大な障害について生産に間に合うものについては、プ リインストールして適用してきました。
            しかしながら、ウィルスソフトは日々進化しておりますので、お客 様が最新のWindowsのUpdateやウィルススキャンのワクチン ファイルをダウンロードされることはどうしても必要となります。
            弊社では、挿し紙等のわかりやすい場所に、更新方法についての 手順を記載することで、更新の必要性と方法について、お客様に お伝えしようと努力しております。


            問い合わせには、実名でなくハンドルを使ったのですが
            このようにきちんとした回答がいただけました。
            その事にNECという会社の姿勢が感じられるような気がします。
            情報そのものよりも、そちらの方がより重要かもしれない。
            親コメント
            • ご苦労様です。
              その事にNECという会社の姿勢が感じられるような気がします。
              情報そのものよりも、そちらの方がより重要かもしれない。
              そうですね。私も同感です。このような姿勢に対する努力が報われるといいな、と思います。

              #と、これだけではアレなので少しネタを

              そう簡単に Windows Update を勧められない事情もメーカーにはあるようです。Windows Update が原因で動作しなくなるソフトウェアが結構存在するからです。私は仕事上デバッグ関連のソフトウェアが使えなくなるのが致命的なのですが、Kernel や Security 関連の仕様変更があると軒並み動作しなくなります ;-(。私の例は特例ですが、プリインストールされているアプリケーションすら動作しなくなるケースも有るようです。

              この場合の選択肢としては「1. Windows Update をさせない」、「2. アプリケーションを使わせない」、「3. アプリケーションを修正する」辺りでしょうか。3. が常識と思われるかもしれませんが、古今の機種の多さはハンパじゃないし、そのための修正と動作確認の費用はバカになりません。販売終了してしまった機種なら尚更。

              安易に Windows Update を推奨すればそれだけユーザーサポートにコストが跳ね返るわけです。

              、、、と言うことで私の戯言より以下の page が参考になるかと。VAIO の例がソレです。
              -----
              [取扱説明書に記載されないWindows Updateの必要性]
              http://d.hatena.ne.jp/HiromitsuTakagi/20030914
              -----
              --
              Mc.N
              親コメント
          • 改善しようと 試みられているということなんでしょうね。
            次々とセキュリティ・ホールが出てくるので、きりがないでしょうが、
            せめて、という事で。

            購入時のセキュリティ講習っていうのは魅力的ですね。
            < 使わない多量のバンドルソフトより、購入時の安全講習>っていうのは、
            方向性としてアリなんじゃないのかなぁ。

            IEのパッチがようやく提供されたようです。
            さて、「老兵は、死なず」ということで
            またボランティアにはげみましょうかね。
            親コメント
          • by MIYU (17727) on 2003年10月05日 4時54分 (#408898)
            Mc.Nさん、教えていただいた貴重な情報の意味が、やっとわかりました。

            車(PC)でどこかへ行く(仕事をする)には、道路を走らなきゃいけないんだけど、
            道路に接しているタイヤ(Windows)が、どうも弱くてよく穴(セキュリテーホール)が開く、(悪意で釘をまく人間もいるらしい)と。
            で、購入したばかりの車(PC)なのに、最初からタイヤ(Windows)に穴(ホール)があっていきなり事故(ウイルス感染)が起きた場合、穴が開いているタイヤ(Windows)だと分かっていて売りつけたメーカーの責任は・・・・? という事になりかねないので、
            訴えられない(PCメーカーが安心できる)ように、 見つけた分の穴はふさいで売ることにしました、っていう話なんですね。

            記事では、「ワームが蔓延している状況でも安心して利用するため」の措置という解釈をしているけれど、購入者が安全に利用するためには、車(PC)のタイヤ(Windows)にしばしば穴が開くので点検が必要だという事、穴が開いたまま走っていると事故を起こして(ウィルス感染)自分と周りに危険が及ぶ事、穴は<たいてい>事故が起こる前にふさげる事、が周知徹底されていて、そのうえで穴のふさぎ方(Windows Updateなり手動のパッチ当てなり)を理解している必要があるわけだから、 PC 購入時に30分位の簡単なセキュリティ講習をというのは、確かに最低限必要とされる事かもしれないですね。

            まあ、実際の車のように話が運ばないのは承知の上ですし、ここを眺める人には無用のことでしょうが、情報を持っている側に多くの責任があるわけですから、企業側が説明責任を果たしているという社会的アピールのためにも、何か手段は必要な気がします。

            人柱中なので理解が遅くて、ごめんなさい。
            親コメント
            • by Mc.N (3705) on 2003年10月05日 6時23分 (#408916) 日記
              #補足しておきます

              あの記事から問題点を抽出すると NEC 以外のメーカーでは様子見で在庫が切れるまでは対処していなさそうな所が挙げられると思います。ニュースでは OS の「欠陥」として報じられているのにも関わらずにです。更に「MS03-026」に対応しただけでは現状では中途半端で、同じ脆弱性である「MS03-039」には対応していないかもしれません。もしかして明日にも同様の脆弱性が発見されるかもしれない現状にあって、単にネットでセキュリティ情報を垂れ流すだけで問題が無いのか、疑問です。

              その点「簡単なセキュリティ講習」というのは有用ではないかと思っています。例えば「当店でお買い上げのお客様に限り、セキュリティ講習無料券」とかを発行し、近くのパソコン教室で講習が受けられる、トカ。講習時に Security patch を提供すれば、Net に接続して即座に感染することは少ないでしょう。

              パソコン教室も顧客確保のチャンスが生まれてウハウハ。更にセキュリティソフトウェアが売れればお店側もウハウハ。PC メーカーも製造物責任を果たせてウハウハ。顧客もセキュリティに対しての最新知識が得られてウハウハ。イイ事尽くめ。もちろん私の頭の中だけですが。
              #また「ヲタの妄想」と煽られそうなのでこの辺で止めときます。

              ただ「誰が責任を取るべきか」という話になると皆、微妙な立場でしょう。MS からすれば OEM 販売した PC メーカーの責任だと言うだろうし、PC メーカーからすれば MS の「欠陥」であって本体の欠陥ではないと言うだろうし、販売側でセキュリティを徹底しろとも言っているでしょう。販売側からすれば、MS や PC メーカーの「欠陥」で販売実績を落としたくないだろうし、そのコストをかぶりたくはないでしょう。ただでさえ薄利多売な商売なんですから。で、結局そのツケを顧客が払っているわけです。そんな状況を鑑みて最初の「買う側の「自己責任」に頼りすぎちゃ、いないかな」に繋がるわけです。

              責任云々を言い始めると何一つ結果が表れない仕組みになっている以上、責任は兎も角「今出来ることを今しませんか?」という方向に進んで欲しいと思っています。
              --
              Mc.N
              親コメント
              • by Anonymous Coward
                >#また「ヲタの妄想」と煽られそうなのでこの辺で止めときます。

                残念だけど、ヲタの妄想だよね…。
                セキュリティの講習がタダですって言われたって、
                受ける本人のセキュリティに対する意識が低い場合受けないし。
                そもそもそういうセキュリティに対する意識が低い人が多いから、
                パッチ当てなくて後で慌てるケースが多いわけで。

                #車の安全運転講習だって無料であちこち開催されてるけど、
                #結局そういう講習に現れるのは安全運転してるドライバーさんなんだよね。

                どんな道具であっても最終的に

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...